数据库数据安全问题解决办法分析.docxVIP

数据库安全问题解决办法分析 PAGE4 / NUMPAGES16 数据库安全问题解决办法分析 摘要 数据库技术是目前应用最广泛的一门计算机技术，其安全性越来越重要。该文讲述了数据库安全含义，数据库存在的安全威胁，常用攻击方法，安全控制策略以及分析了历年发生的几大典型数据泄密事件。 关键词：数据库安全，数据库攻击，安全控制，数据库加密。 abstract Database technology is the most widely used computer technology nowadays, and its security is becoming more and more important. This paper describes the meaning of database security, the security threat existing in the database, the common attack methods, the security control strategy and the analysis of several typical data leakage events of the past year. Key words: database security, database attack, security control, database encryption. 随着信息化建设的发展，各种信息系统不断出现，其中数据库扮演者重要角色，其担负着存储和管理数据信息的任务。这些数据一旦泄露或被破坏，将会对国家或单位造成巨大损失。 目前，很多的信息系统采用的都是Oracle或者SQL Server数据库系统，为了保证数据的安全性、准确性以及一致性，这些数据库系统采用一些技术手段，比如：访问控制、实体和引用完整性控制、值域约束、并发控制和恢复等技术。但是，对于Oracle或者SQL Server数据库系统来说，仍然存在很多安全隐患，面临着许多攻击。因此，如何保证与加强数据库的安全性以及保密性，已成为当前迫切需要解决的热门课题。 一、数据库安全含义 于数据库安全的定义，国内外有不同的定义。国外以C. P. Pfleeger “Security in Computing – Database Security.PTR，1997”中对数据库安全的定义最具有代表性，被国外许多教材、论文和培训所广泛应用。他从以下方面对数据库安全进行了描述： (1)物理数据库的完整性：数据库中的数据不被各种自然的或物理的问题而破坏，如电力问题或设备故障等。 (2)逻辑数据库的完整性：对数据库结构的保护，如对其中一个字段的修改不应该破坏其他字段。 (3)元素安全性：存储在数据库中的每个元素都是正确的。 (4)可审计性：可以追踪存取和修改数据库元素的用户。 (5)访问控制：确保只有授权的用户才能访问数据库，这样不同 的用户被限制在不同的访问方式。 (6)身份验证：不管是审计追踪或者是对某一数据库的访问都要经过严格的身份验证。 (7)可用性：对授权的用户应该随时可进行应有的数据库访问。 二、数据库安全威胁 2.1滥用过高权限 当用户（或应用程序）被授予超出了其工作职能所需的数据库访问权限时，这些权限可能会被恶意滥用。例如，一个大学管理员在工作中只需要能够更改学生的联系信息，不过他可能会利用过高的数据库更新权限来更改分数。 2.2滥用合法权 用户还可能将合法的数据库权限用于未经授权的目的。假设一个恶意的医务人员拥有可以通过自定义Web应用程序查看单个患者病历的权限。通常情况下，该Web应用程序的结构限制用户只能查看单个患者的病史，即无法同时查看多个患者的病历并且不允许复制电子副本。但是，恶意的医务人员可以通过使用其他客户端（如MS:Excel）连接到数据库，来规避这些限制。通过使用MS:Excel以及合法的登录凭据，该医务人员就可以检索和保存所有患者的病历。 这种私自复制患者病历数据库的副本的做法不可能符合任何医疗组织的患者数据保护策略。要考虑两点风险。第一点是恶意的医务人员会将患者病历用于金钱交易。第二点可能更为常见，即员工由于疏忽将检索到的大量信息存储在自己的客户端计算机上，用于合法工作目的。一旦数据存在于终端计算机上，就可能成为特洛伊木马程序以及笔记本电脑盗窃等的攻击目标。 2.3权限提升 攻击者可以利用数据库平台软件的漏洞将普通用户的权限转换为管理员权限。漏洞可以在存储过程、内置函数、协议实现甚至是SQL语句中找到。例如，一个金融机构的软件开发人员可以利用有漏洞的函数来获得数据库管理权限。使用管理权限，恶意的开发人员可以禁用审计机制、开设伪造的帐户以及转帐等。 2.4平台漏洞 底层操作系统